9
8

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

無償のSplunk Security Essentialの使い方!

Last updated at Posted at 2019-04-23

いつもの前置き

・Splunkには色々なAppがある。
・とはいえコミュニティサポート(英語)のAppは始めるまでにちょっと敷居が高い。
・そこで私がトライした内容は後学のために共有したいと思いここに書き残します。
・ゆるい情報なので参考程度でご勘弁。

Splunk Security Essentialがとうとう日本語ローカライズされた?

・利用App
Splunk Cloud Gateway

とりあえず実際に見てみた

確かに日本語になっています。質はほぼGoogle翻訳したものと変わらない

スクリーンショット 2019-04-23 7.55.06.png

しかし今までだと、Google翻訳かけると、参考となるSPLまで翻訳されてしまい意味がわからなくなっていたので、それがなくなっただけでもまずは良しとしたい。

ルールを検索するSecurity Contentsページに関してももちろん日本語になっている。

早速、下記パラメータをセットして検索

1. Data Source: EDR
2. ATT&CK Technique: Command-Line Interface
3. Featured: All

スクリーンショット 2019-04-23 8.32.39.png

  • 昨今、EDR製品が注目されているが、splunkはMicrosoftの無償ツール sysmonとも相性がよく、マルウェアの振る舞いをプロセスから検知、監視することができるルールが複数用意されている。
  • sysmonについてはこちらご参考ください。

6つのルールがヒットした

  • ルールの概要とMITERの参考リンクページが用意されている
    スクリーンショット 2019-04-23 8.34.12.png

#### 「異常に長いCLIコマンドの検索」ルールを見てみよう

  • 良かった。ここも日本語になっている。
    スクリーンショット 2019-04-23 8.38.43.png

  • MITER ATT&CKでいうところのExecutionフェーズで使われる手口であることがわかる。Cyber Kill Chainフェーズにおいてもどこで有効かがわかる。

デモデータを元にしたサーチイメージとアウトプットイメージが表示されている

  • サーチが記載されているのでブラックボックスでないところがsplunkの分かりやすいところ。
    スクリーンショット 2019-04-23 8.40.07.png

確かにプロセスの中でこんなに長いプロセスがあったら驚くな。

  • 検知ロジックはサーチを見るとわかるが、いわゆる統計的な外れ値を元にして不審なプロセスを検知している
    スクリーンショット 2019-04-23 8.41.31.png

実際のデータで試したいなと思ったら

  • ページ上段の右上にある「Live Data」をクリック
    スクリーンショット 2019-04-23 8.49.59.png

生データを検索

  • サーチ内容からinputlookupがなくなり、実際のデータを見ているようだ
    スクリーンショット 2019-04-23 8.51.25.png

  • ちゃんと検知しました。powershellを使ったコマンドラインの長過ぎる不審なプロセスを検知できました。
    スクリーンショット 2019-04-23 8.51.31.png

####ポイント:ルールは環境にあわせてチューニング可能

  • たとえば以下のように4σから10σ外れているものを検知に変更する
| where maxlen>10*stdevperhost+avgperhost
  • スケジュールサーチとして登録
    スクリーンショット 2019-06-07 12.29.31.png

  • 1件でも見つかったらアラート発砲(0のままでOK)
    スクリーンショット 2019-06-07 12.30.02.png

  • cronなど任意のスケジュールでサーチを実行するように設定
    スクリーンショット 2019-06-07 12.30.13.png

  • メール通知なども忘れずに
    スクリーンショット 2019-06-07 12.31.29.png

  • メールが届くとこんな感じ

スクリーンショット 2019-06-07 15.12.54.png

まとめ

  • Security Essentialを使って、せっかく収集したデータからプロアクティブに潜在的な脅威を発見するThreat Huntingを始められます
  • そもそもルール適用する前にどんなログソースが必要なの?と疑問に思った方は下記ご参考ください。
    SplunkとThreat Hunting
  • どうやらきれいにローカライズされたバージョンはまだ先になる模様。今回はgoogle翻訳レベルのbeta版みたいなものらしい、Version2.4であれば日本語で見れるが、すぐに修正版が出て、ローカライズ機能は一旦、消える模様です。。正式サポートを受けるのは常に最新版のAppを使う必要があるのでご留意ください。
9
8
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
9
8

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?